安全圈 | 专注于最新网络信息安全讯息新闻

 首页

sharpshooter活動分析及與lazarus的同源性分析

作者 landy 时间 2020-02-27
all

McAfee全球威脅情報的AdvancedThreat Research團隊和McAfee Labs惡意軟件運營部門發現了針對核,國防,能源和金融公司的新全球運動。該活動,Sharpshooter利用記憶體植入下載和執行第二階段植入的木馬程式-我們稱之為Rising Sun。根據我們的分析,Rising Sun植入的木馬程式使用來自Lazarus Group 2015年後門Trojan Duuzer的原始程式碼,在新的框架中滲透這些關鍵行業。

sharpshooter的攻擊手法與Lazarus組織的眾多科技比較相似,雖然不能立即得出結論或許可能存在虛假旗幟。我們的研究重點是該攻擊組織如何運作,對全球影響以及如何檢測攻擊。

該攻擊活動雖然偽裝成合法的招聘活動,對進一步攻擊做監控收集資訊。我們的分析還表明與其他招聘活動相關的類似科技。這項研究使用2015年後門Duuzer的程式碼發現了一個新的植入程式碼,該程式碼最後一次出現在2015年針對目標是韓國和日本。除了Rising Sun,我們從那時起就沒有看到其他變種。

在2018年10月和11月,Rising Sun惡意軟件已經出現在全球87個組織中,主要是在美國,基於McAfee的分析。基於具有類似行為的其他活動,大多數目標組織都是說英語或有英語的辦公室。該攻擊使用recruiting(招募)作為誘餌檔案來收集有關目標個人或管理與感興趣行業相關的數據的組織資訊。邁克菲高級威脅研究團隊觀察到,大多數目標都是國防和政府相關組織。

這項行動於10月25日開始。一系列惡意檔案中載有姓名為Richard(理查)的作者。這些檔案包含韓語資訊,表明它們是使用韓語版的Microsoft Word創建的。所有惡意檔案都有針對未知公司職位的英文職位描述標題,由美國的IP地址和Dropbox服務分發。這些檔案包含一個惡意宏,利用嵌入式shellcode將Sharpshooter下載器注入到Word的記憶體中。一旦Word行程被感染,下載器就會執行第二階段運行Rising Sun.下載程式的shellcode大小為3.1KB,獲取另一個植入程式地址在hxxps://www.kingkoil.com.sg/query.php。下圖是2018年10月按區域劃分的基於行業的受害分佈圖。顏色表明每個國家中受影響最大的部門。

hxxps://www.kingkoil.com.sg/query.php

下圖. Rising Sun植入的感染流程,最終將數據發送到攻擊者的控制服務器。

由winword.exe中的Visual Basic for Applications宏執行的shellcode充當第二階段植入的簡單下載程式。shellcode使用第二階段有效負載感染端點需要四個步驟:

它通過使用硬編碼位元組填充字串數組來構建庫和API名稱。(字串構造一次完成1個位元組。)此科技用於構造shellcode中的所有字串,包括控制服務器資訊。

它使用LoadLibraryA(),GetProcAddress()解析庫和API:

urlmon.dll

shfolder.dll

ntdll.dll

kernel32.dll

shell32

LoadLibraryA

GetProcAddress

URLDownloadToFileA

SHGetFolderPathA

strcpy

strcat

CreateProcessA

memset

ShellExecuteA

植入木馬程式從其控制服務器下載兩個檔案:第二階段有效載荷下載HTTPS://WWW.kingkoil.com.sg/query.php啟動資料夾:%Startup%\mssync.exe此步驟可確保系統的持久性該步驟確保了作為下載過程的一部分的第二階段植入系統持久性,從而消除了對第二階段植入木馬程式本身建立持久性的需要。第二個OLE(Word)檔案:從https:// www.kingkoil.com.sg/下載另一個OLE檔案Manager.doc:%LOCALAPPDATA%\ Strategic Planning Manager.doc這個檔可能是用作隱藏惡意內容的誘餌檔案。4.一旦下載了第二階段木馬程式和誘餌檔案,就會執行兩個有效載荷:

使用CreateProcessA()API執行第二階段木馬程式。

使用帶有“打開”動詞的ShellExecuteA()打開誘餌檔案。

Advanced Threat Research團隊發現了同一作者的另一份PDF檔案(10mins.PDF)。它似乎是一個與智能手機相關的調查問卷。此檔案與兩個相關的惡意檔案託管在同一服務器上。調查問卷來自於一家專門從事反欺詐保護和財務合規的大資料分析公司。

Rising Sun木馬程式是一個功能齊全的模組化後門,可對受害者的網絡進行偵察。

此種植體首先通過動態API解析構建並導入:LoadLibrary()/ GetProcAddress()。庫和API名稱在木馬程式中硬編碼為DWORD / WORD值,並包含大小為0x147位元組的位元組。使用具有金鑰0xC8的簡單單位元組XOR方案來解密該blob數據。用於構建庫和API名稱的這種方案是Lazarus惡意程式經常使用的位元組塊字串構造科技的變體。該計畫通常涉及如下內容:

惡意程式中DWORD / WORD /位元組塊形式的硬編碼庫和API名稱。

在惡意程式執行期間為這些硬編碼值分配變數。

構造由要解析的庫和API名稱組成的字元數組。

這些陣列可能必須使用像單位元組XOR解碼方案那樣簡單的東西來解碼。

使用LoadLibrary()/ GetProcAddress()現在使用構造的名稱數組解析庫和API。

惡意程式的配寘數據使用RC4算灋加密。惡意程式在運行時解密配寘數據並與控制服務器通信。從惡意程式解密的地址資訊如下:

hxxtp://34.214.99.20/view_style.php

hxxp://137.74.41.56/board.php

hxxps://www.kingkoil.com.sg/board.php

惡意程式從被控端主機獲取以下數據並將其傳送到c&c控制服務器包括如下內容:

網路介面卡資訊

電腦名稱

用戶名

IP地址資訊

本機系統資訊

來自註冊表的OS產品名稱:SOFTWARE\MICROSOFT\Windows NT\CurrentVersion | ProductName

將攻擊歸咎於任何威脅組織往往充滿挑戰,包括其他威脅行為者可能的“虛假旗幟”行動。僅憑科技證據不足以證明組織之間存在的關聯性。然而,根據我們的分析,這一行動與其他Lazarus組織的攻擊有著驚人的相似之處;囙此我們提出這一觀點,以便於進一步分析。雖然這些相似之處指向Lazarus,但我們也必須考慮存在假旗的可能性。

惡意Word檔案是在韓語環境中創建的。(內碼表是韓文。)

惡意程式使用了我們在多個Lazarus種植體中觀察到的動態API科技的變體。

該操作非常類似於2017年針對美國國防和能源部門的Lazarus業務。不論從科技,策略和程式與之前的操作相非常相似。

Rising Sun是Lazarus後門Duuzer的演變,它於2015年流傳,目標是韓國。

Rising Sun與Duuzer有部分共用代碼,該特徵由安全社區確定屬於Lazarus。我們比較了以下樣本並詳細說明了它們的相同點和不同點。用於比較的資訊:

Rising Sun: f3bd9e1c01f2145eb475a98c87f94a25Duuzer: 73471f41319468ab207b8d5b33b0b4be

儘管Rising Sun和Duuzer使用的解密方案不同,但兩種惡意程式都使用類似的配寘資訊來驅動其偵察能力:

兩種木馬都使用相同的科技來構建和解碼庫和API以進行動態API解析。我們在前面的部分中解釋了這種技術(a variant of byte-chunk library/API name construction)。儘管由Duuzer中的庫/ API字串組成的編碼數據blob的大小為0x181位元組,並且使用0x30作為XOR金鑰進行解碼,但是Rising Sun中的編碼數據blob的大小為0x147位元組,並使用0xC8作為XOR金鑰進行解碼。兩個木馬之間的另一個相似之處是一些解碼的庫名稱由隨機字元組成。例如,Duuzer將以下庫名的隨機字元大寫:

uSEr32.dlLRising Sun在這些庫名稱中有相似的名稱:vErsIon.dlladvapI32.dLL

惡意程式的相似性是使用多種功能以及程式碼結構和API中直接匹配,以實現這些功能。以下功能是直接匹配:偵察(收集初步系統資訊)

兩種惡意程式在初始偵察期間都從被控主機中捕獲相同的資訊。資訊的順序和API /程式碼簽名完全匹配。兩種惡意程式竊取的資訊:網絡適配資訊電腦名稱用戶名IP地址資訊本機作業系統資訊來自註冊表的os產品名稱:SOFTWARE\MICROSOFT\Windows NT\CurrentVersion | ProductName

5.1 Rising Sun和Duuzer的相同點

1.兩者執行命令相似

兩個惡意程式都使用cmd.exe執行命令,並將輸出重定向到暫存檔案:

cmd.exe /c“> <%temp%>\.tmp”2>&1兩種惡意程式都支持本地更改目錄,而無需通過shell執行cd命令。支持的cd命令:cdcd.cd\

2.獲取驅動資訊相似

兩種惡意程式都使用相似的程式碼簽名收集相同的數據:

Drive typeTotal number of bytes on diskTotal number of free bytes on diskName of a specified volume

3.啟動行程相似

兩種惡意程式都使用相同的API和標誌在主機上啟動新行程。

4.獲取行程相似

兩種惡意程式都會獲取完全相同的行程資訊:

Process nameProcess creation timeProcess exit timeProcess kernel mode timeProcess user mode time

5.終止行程相似

兩種惡意程式都支持基於以下任一管道終止在系統上運行的行程的能力:

Process NameProcess ID

6.獲取檔案的時間

兩個惡意程式實現相同的功能

Find files based on a filename search string(forexample,. or *.txt)For each file found,get the following times:

File creation time

Last access time(including read,write,or executeoperations)

7.讀檔案

兩個惡意程式都可以讀取控制服務器指定的檔案內容並執行檔案的內容。

8.清除行程資訊

兩個惡意程式中沒有相似性

9.寫檔案

兩種惡意程式都可以使用相同的操作序列將C&C主控端提供的內容寫入磁片(檔案路徑也由c&c控制服務器指定):

從控制服務器獲取檔案路徑並創建與檔案路徑對應的檔案。使用特定惡意程式的通信機制從控制服務器獲取要寫入檔案的內容。將內容寫入檔案路徑後,向控制服務器發送成功或失敗響應。

10.刪除檔

如果C&C控制服務器指定的檔案不是目錄,則兩個木馬都可以删除控制服務器指定的檔案。

11獲取其他資訊

兩種惡意程式都具有相同的功能來獲取指定目錄中檔案的檔案資訊,包括以下數據:

File attributesFile sizeFile creation timeLast access timeFile write timeMZ compile time

12.連接相同的C&C地址

兩個種植體都使用相同的操作,API和程式碼簽名與指定IP地址連接:

通過指定的埠號測試與指定網絡IP地址的連接。

僅嘗試連接到網路位址。

根據連接嘗試,向控制服務器發送成功或失敗響應。

13.兩個惡意程式都可以修改檔案内容

檔案内容(隱藏,系統等)如果檔案是MZ,則檔案的編譯時間戳記也會在PE頭中修改。

14.更改檔案路徑

兩種惡意程式都可以更改檔案内容並將檔案移動到其他位置。

5.2 Rising Sun和Duuzer的不同點

兩個家族在某些方面存在一些差异性。

1.通信機制:

Duuzer使用簡單的基於通訊端的通信機制從其控制服務器發送和接收數據。Rising Sun使用基於HTTP的機制。這種差异可能是攻擊版本的增强,因為基於HTTP的機制能够更好的繞過網絡入侵防禦系統的檢測。

2.編碼方式不一致

編碼不一致:除了庫和API名稱構造和解碼之外,惡意程式中使用的加密管道是完全不同的。雖然Duuzer使用自定義的XOR來解碼其配寘數據,但Rising Sun使用RC4算灋解密。

我們對新型木馬的發現是針對性攻擊試圖獲取智慧的另一個例子。惡意軟件分幾步進行。初始攻擊向量是一個包含武器化宏的office檔案,用於下載真正的後門程式,該階段在記憶體中運行並收集情報。受害者主機的數據被發送到C&C控制服務器以被攻擊者監控,然後攻擊者確定接下來的步驟。

我們以前沒有觀察到這種惡意程式。根據我們的分析,我們發現世界各地不同行業的多名受害者都發現了這些特徵。Sharpshooter與Lazarus Group惡意軟件的相似之處令人震驚,但這並不能確保兩個組織的同源性。這次攻擊只是第一階段的偵察行動,還是會有更多的活動資訊嗎?我們將繼續監控此活動,並在我們收到更多資訊樣本後進一步報告。

1. mitre ATT&CK名額

Account discovery

File and directory discovery

Process discovery

System network configuration discovery

System information discovery

System network connections discovery

System time discovery

Automated exfiltration

Data encrypted

Exfiltration over command and control channel

Commonly used port

Process injection

2.主控端

34.214.99.20/view_style.php

137.74.41.56/board.php

kingkoil.com.sg/board.php

3.下載的URL資訊

hxxp://208.117.44.112/document/Strategic PlanningManager.doc

hxxp://208.117.44.112/document/Business IntelligenceAdministrator.doc

hxxp://www.dropbox.com/s/2shp23ogs113hnd/Customer Service Representative.doc?dl=1

4.Hash

8106a30bd35526bded384627d8eebce15da35d17

66776c50bcc79bbcecdbe99960e6ee39c8a31181

668b0df94c6d12ae86711ce24ce79dbe0ee2d463

9b0f22e129c73ce4c21be4122182f6dcbc351c95

31e79093d452426247a56ca0eff860b0ecc86009

© 2023